XSS challenges stage #3

What you have to do:

Inject the following JavaScript command: alert(document.domain);

Solve

이번에는 앞에 방법들로 안 돼서 burp suite를 이용해보았다.

request를 보면 p1이 입력한 값이고 p2가 옆에 설정한 나라인 것을 확인할 수 있다.

burp suite로 저 값들을 바꿀 수 있나 확인해봤더니 바꿀 수 있었다.

 

한번 바꾸고 결과값을 봐보니 아래 사진과 같이 p1은 “” 안에 p2는 그냥 태그 안에 입력되는 것을 확인 할 수 있었다.

 

따라서 나라 대신 script 구문을 주입했더니 성공했다.

<script>alert(document.domain);</script>를 입력한다.

다음 스테이지로 이동